Configuración de la conectividad a Azure Files
Es probable que los usuarios de Contoso se conecten a Azure Files mediante el protocolo SMB, aunque también se admite NFS. SMB usa el puerto TCP 445 para establecer conexiones. Muchas compañías y proveedores de servicios de Internet bloquean ese puerto, lo cual suele provocar que los usuarios no puedan acceder a Azure Files. Si no puede desbloquear el puerto 445, puede acceder a Azure Files estableciendo primero una red privada virtual (VPN) de punto a sitio (P2S), una VPN de sitio a sitio (S2S) o mediante una conexión de Azure ExpressRoute a Azure. La empresa también puede usar Azure File Sync para sincronizar un recurso compartido de archivos de Azure con un servidor de archivos local al que los usuarios siempre pueden acceder.
Firewalls y redes virtuales de Azure Storage
Azure Storage, que incluye Azure Files, proporciona un modelo de seguridad por niveles. Este modelo le permite contribuir a proteger y controlar el nivel de acceso a las cuentas de almacenamiento en función del tipo y el subconjunto de redes usadas desde las que se origina la solicitud. De manera predeterminada, un firewall de la cuenta de almacenamiento permite el acceso desde todas las redes, pero puede modificar la configuración para permitir el acceso solo desde direcciones IP especificadas, intervalos IP o desde una lista de subredes de una red virtual de Azure. La configuración del firewall también le permite seleccionar servicios de la plataforma de Azure de confianza para acceder a una cuenta de almacenamiento de forma segura.
Además del punto de conexión público predeterminado, las cuentas de almacenamiento (que incluyen Azure Files) ofrecen la opción de tener uno o más puntos de conexión privados. Un punto de conexión privado es un punto de conexión al que solo se puede acceder dentro de una red virtual de Azure. Al crear un punto de conexión privado para una cuenta de almacenamiento, la cuenta de almacenamiento obtiene una dirección IP privada desde el espacio de direcciones de la red virtual, de forma similar a como un servidor de archivos local o un dispositivo NAS reciben una dirección IP del espacio de direcciones dedicado de una red local. Esto protege todo el tráfico entre la red virtual y la cuenta de almacenamiento a través de un vínculo privado.
Sugerencia
También puede usar el firewall de la cuenta de almacenamiento para bloquear todo el acceso a través del punto de conexión público al usar puntos de conexión privados.
Conexión a un recurso compartido de archivos de Azure
Para usar un recurso compartido de archivos de Azure con el sistema operativo Windows, debe montarlo, es decir, asignarle una letra de unidad o una ruta de acceso a un punto de montaje, o acceder a él mediante su ruta de acceso de convención de nomenclatura universal (UNC). La ruta de acceso UNC incluye el nombre de la cuenta de almacenamiento de Azure, el sufijo del dominio file.core.windows.net y el nombre del recurso compartido. Por ejemplo, si la cuenta de almacenamiento de Azure se denomina storage1 y el nombre del recurso compartido es share1, la ruta de acceso UNC será \\storage1.file.core.windows.net\share1.
Si la autenticación basada en identidad está habilitada para la cuenta de almacenamiento y se está conectando a un recurso compartido de archivos de Azure desde un dispositivo Windows unido a un dominio, no es necesario proporcionar manualmente ninguna credencial. De lo contrario, debe proporcionar las credenciales. Puede usar (AZURE\*<storage account name>*) como nombre de usuario y la clave de acceso de almacenamiento como contraseña. Si se conecta a un recurso compartido de archivos de Azure mediante el script que proporciona Azure Portal, deberá usar las mismas credenciales.
Precaución
Tenga en cuenta que una clave de acceso de almacenamiento proporciona acceso sin restricciones a un recurso compartido de archivos de Azure. Siempre que sea posible, debe usar la autenticación basada en identidad, alternativamente.
Instantáneas de recursos compartidos de archivos de Azure
En Windows Server, puede crear una instantánea de un volumen, que captura el estado del volumen en el tiempo en un momento determinado. Posteriormente, puede acceder a la instantánea a través de una red mediante la característica Versiones anteriores del explorador de archivos. Hay una funcionalidad similar disponible con las instantáneas de recursos compartidos de archivos de Azure. Una instantánea de recurso compartido es una copia de solo lectura de los datos del recurso compartido de archivos de Azure en un momento determinado.
Cree una instantánea de recurso compartido en el nivel de recurso compartido de archivos. Después, puede restaurar archivos individuales desde Azure Portal o desde el explorador de archivos, donde también puede restaurar un recurso compartido completo. Puede tener hasta 200 instantáneas por recurso compartido, lo que le permite restaurar archivos en diferentes versiones de un momento dado. Si elimina un recurso compartido, también se eliminan todas sus instantáneas.
Las instantáneas de recurso compartido son incrementales. Solo se guardan los datos que hayan cambiado después de realizar la instantánea de recurso compartido más reciente. Esto minimiza el tiempo necesario para crear la instantánea de recurso compartido y permite ahorrar en costos de almacenamiento y almacenamiento.
Las instantáneas se emplean en estas situaciones:
- Como protección frente a eliminaciones accidentales y cambios no intencionados. Una instantánea de recurso compartido contiene copias de un momento concreto de los archivos del recurso compartido. Si los archivos de recursos compartidos se modifican involuntariamente, puede usar instantáneas de recursos compartidos para revisar y restaurar versiones anteriores de los archivos.
- Como copia de seguridad general. Después de crear un recurso compartido de archivos, puede crear periódicamente una instantánea de recurso compartido. Así podrá conservar versiones anteriores de los datos que se podrán usar para futuros requisitos de auditoría o recuperación ante desastres.